Selon une étude réalisée par des chercheurs en sécurité qui doit être présentée aujourd'hui à San Diego dans le cadre du Usenix Security Symposium (20-22 août), sur 48 000 extensions pour le navigateur Chrome de Google, un nombre important sont utilisées pour la fraude en affiliation et le vol de données, et la plupart du temps, leurs actions sont indétectables par l'utilisateur. Ce rapport laisse présager un nombre croissant de problèmes de sécurité autour des extensions dans la mesure où les cybercriminels cherchent à tirer profit des données riches contenues dans les navigateurs Web.

Les chercheurs ont identifié 130 extensions malveillantes avérées et 4 712 suspectes, associées à divers types de fraudes, vol d'identifiants, redirection vers des publicités frauduleuses ou piratage de comptes sur les réseaux sociaux. « Après avoir installé l'extension, l'utilisateur ne constate aucun comportement malveillant », a expliqué Alexandros Kapravelos, doctorant à l'Université de Californie, Santa Barbara, au cours d'une interview téléphonique avec nos confrères IDG News Service. « C'est au moment où l'utilisateur consulte des pages spécifiques, que le comportement malveillant des extensions se déclenche ».

Rester prudent sur les autorisations de téléchargement

Les chercheurs ont développé un système appelé Hulk, qui surveille de près la façon dont se comportent les extensions du navigateur quand elles interagissent avec les sites web. Pour que Hulk fonctionne, ils ont dû également créer des pages web dites « HoneyPages », spécialement conçues pour déclencher ces comportements malveillants. Parce que les extensions ajoutent des fonctionnalités supplémentaires au navigateur, elles ont besoin de beaucoup de ressources. Les extensions font régulièrement des appels aux API de Chrome pour demander diverses autorisations. Par exemple, elles peuvent intercepter des requêtes web faites dans le navigateur, modifier le trafic et injecter du code JavaScript dans des pages Web. « Ces actions requièrent vraiment beaucoup de ressources », a expliqué le doctorant qui recommande aux utilisateurs « d'être beaucoup plus prudents avant d'accorder une autorisation aux extensions qu'ils téléchargent ».

L'étude a été réalisée en étroite collaboration avec Google. La firme de Mountain View procède bien à l'examen des extensions avant d'autoriser leur publication sur le Web Store de Chrome, mais certaines sont manifestement passées au travers du filet. Suite à ce travail, Google a renforcé son contrôle. Ainsi, il est désormais plus difficile d'installer des extensions dans le navigateur sans passer par le Web Store, une pratique connue sous le nom de « side-loading », comme l'a expliqué Chris Grier, chercheur en sécurité à l'Université de Californie, Berkeley, et autre co-auteur de l'étude avec Neha Chachra, Christopher Kruegel, Giovanni Vigna et Vern Paxson. « Parmi toutes les extensions que nous avons examinées, seul un petit nombre ont tenté de pirater des sessions sur des sites de banque en ligne ou d'enregistrer les frappes au clavier », a déclaré le chercheur. « Mais il n'est pas impossible qu'une analyse plus approfondie révèle des pratiques malveillantes bien cachées », a-t-il ajouté.

Une extension suspecte téléchargée 5,5 millions de fois

Certaines extensions suspectes ont été téléchargées des millions de fois. Ainsi, une extension destinée au public chinois, et téléchargée 5,5 millions de fois, utilise une balise de localisation pour communiquer à un serveur distant toutes les pages web visitées par l'utilisateur. Ces informations ne sont pas envoyées sous forme chiffrées via SSL. « En soi, ce type de piratage n'est pas malveillant, mais il expose les utilisateurs chinois à d'autres types de risques », a déclaré Chris Grier. « En effet, tous les contenus qu'ils échangent ne sont plus chiffrés et ils n'ont plus aucune garantie de confidentialité. Certainement aussi, les utilisateurs situés hors de Chine sont exposés à un nombre de risques beaucoup plus important, puisque chacune de leur requête HTTP est enregistrée sur un serveur distant ».

Parmi les extensions examinées par les chercheurs, certaines avaient pour fonction de modifier ou d'ajouter des paramètres dans une URL pour commettre des fraudes d'affiliation en ligne. Des entreprises comme Amazon rémunèrent les webmasters de sites affiliés quand un visiteur de leur site clique sur un lien qui redirige vers un produit vendu par le distributeur. Pour identifier le site, Amazon ajoute un code d'affiliation à l'URL. Certaines extensions changent le code d'affiliation légitime pour récupérer les dividendes. « Depuis la communication du rapport à Google, ce dernier a commencé à sévir contre ce type de fraude et à modifier sa politique concernant les extensions », a ajouté le co-auteur de l'étude. Les chercheurs ont également trouvé des extensions capables de remplacer des publicités par d'autres pour générer des dividendes revenant au pirate. Parfois les extensions sont capables de changer les bannières publicitaires, d'injecter des publicités dans des sites sans publicité comme Wikipedia ou de faire surgir des annonces directement sur le contenu du site.